Fraude mogelijk bij internetbankieren ABN Amro - update 2 - IT Pro - Nieuws

Gebruikers van de internetbankiersite van ABN Amro zijn in sommige gevallen kwetsbaar voor aanvallen. Het apparaat dat wordt gebruikt om de identiteit van een klant te controleren, kan worden gekraakt, blijkt uit onderzoek.

De kwetsbaarheid maakt het mogelijk voor kwaadwillenden om transacties via het internetbankieren van ABN Amro te manipuleren, zodat ze geld kunnen doorsluizen naar hun eigen rekening. Dat hebben onderzoekers van de Radboud Universiteit in Nijmegen ontdekt. De onderzoekers onthulden hun bevindingen in Nieuwsuur.

Klanten zijn alleen kwetsbaar als het apparaat dat wordt gebruikt om hun identiteit te controleren, de e.dentifier2, via een usb-kabel aan de computer is gekoppeld. Via malware op de pc van een slachtoffer kan dan fraude worden gepleegd. Volgens de onderzoekers is er 'geblunderd' bij de ontwikkeling van het apparaat, omdat malware ervoor kan zorgen dat een malafide transactie wordt uitgevoerd en goedgekeurd zonder dat de gebruiker op 'ok' drukt.

De kwetsbaarheid maakt het voor aanvallers mogelijk om een malafide transactie uit te voeren nadat de klant een eigen transactie heeft uitgevoerd en deze heeft goedgekeurd op zijn e.dentifier. Daarvoor onderschepten de onderzoekers het verkeer tussen de pc en de e.dentifier, iets wat bekend staat als een man in the middle-aanval. Daarbij wordt de transactie van de kwaadwillende wel op het display getoond, maar omdat de malware op de pc van het slachtoffer toegang heeft tot dat display, kan de melding binnen een seconde weer worden weggehaald.

Circa 500.000 klanten zouden de kwetsbare e.dentifier gebruiken. Aankoppelen via een usb-kabel is gebruiksvriendelijker, omdat klanten bij een transactie dan slechts hun pincode hoeven in te voeren. Anders moet ook een reeks cijfers worden ingevoerd. Bankklanten die hun e.dentifier2 niet hebben aangekoppeld, zijn niet kwetsbaar, evenals klanten met oudere versies van het apparaat. Die kunnen namelijk niet via usb worden aangekoppeld.

Volgens de onderzoekers is ABN Amro al een halfjaar geleden geïnformeerd over de kwestie, en is de bank begonnen met het ontwikkelen van een veiliger apparaat. De bank heeft zijn klanten echter niet geïnformeerd.

Dat internetbankieren onveilig kan zijn, is overigens al langer bekend. Niet alleen worden de nodige bankklanten het slachtoffer van phishing, ook rouleert er malware die tot doel heeft om logingegevens van banken te onderscheppen. Sommige malware is zelfs in staat tancodes te onderscheppen, die worden gebruikt om betalingen bij ING te bevestigen. Daartoe moet dan wel de telefoon van een slachtoffer zijn geïnfecteerd.

Update, 22:34: Details uit uitzending Nieuwsuur toegevoegd.

Update, vrijdag 8:47: Bevindingen uit research-paper in artikel verwerkt.

Bekijk ook de demonstratie van Tweakers.net over de manier waarop trojans bankgegevens ontvreemden.

IT-banen

Reacties (144)

erikloman 16 augustus 2012 22:18

Met software kunnen cybercriminelen betaling onderscheppen.

Dit gebeurd dus vandaag de dag reeds en masse!
Zeus, Citadel, SpyEye, Sinowal/Mebroot, Cridex, Ice-IX, Shylock, Hermes/Tatanga, etc.

Het zou stom zijn van de criminelen om zich specifiek op deze e.dentifier2 USB feature te richten want dat is

A. een zeer beperkte doelgroep; specifiek ABN AMRO en slechts 20% van hen gebruikt de USB functie

B. je kunt ook zonder die USB feature middels software (ook bekend als malware) transacties van ABN AMRO onderscheppen

Edit: Net de Nieuwsuur uitzending gezien en die 1 EUR die op de e.dentifier2 wordt onderschept en weergegeven wordt al jaar en dag in de browser onderschept. De USB feature van e.dentifier2 maakt het geheel niet kwetsbaarder. Het is de malware op de computer die de USB en webpagina onderschept en dus de transactie kwetsbaar maakt, niet de USB feature of de browser. Als je software op je PC hebt draaien die de transactie kan onderscheppen dan maakt het niet uit of je dat met of zonder USB kabel doet.

[Reactie gewijzigd door erikloman op 23 juli 2024 15:06]

Keypunchie @erikloman • 16 augustus 2012 22:46

Edit: Net de Nieuwsuur uitzending gezien en die 1 EUR die op de e.dentifier2 wordt onderschept en weergegeven wordt al jaar en dag in de browser onderschept. De USB feature van e.dentifier2 maakt het geheel NIET kwetsbaarder! Het is de malware op de computer die de USB en webpagina onderschept en dus de transactie kwetsbaar maakt, niet de USB feature of de browser. Als je software op je PC hebt draaien die de transactie kan onderscheppen dan maakt het niet uit of je dat met of zonder USB kabel doet.

Nou, dit is precies dezelfde gedachte die ik ook had! Wat is nou de extra kwetsbaarheid door de USB-kabel?

erikloman @Keypunchie • 16 augustus 2012 23:03

Er is geen kwetsbaarheid.

Die USB feature is geen security feature maar een handigheidje (je hoeft de 8 cijfers niet in te typen). Het is dus NET ZO veilig als zonder USB.

Bank zwart gemaakt voor niets

bwerg @erikloman • 16 augustus 2012 23:40

En ondanks dat het onderzoek nog niet is gepubliceerd, heb jij het al mogen inzien, aangezien je deze conclusie al kan trekken?

Nee, als het enkel de standaard man-in-the-browser is ligt het niet aan de USB-kabel, nee. Dat is het dus niet. Of het is een extreem amateuristische student, dat hij de mitb nog niet kende...

erikloman @bwerg • 17 augustus 2012 00:09

Hoef ik niet in te zien want de USB feature is geen security feature maar een handigheidje om de 8 cijferige challenge + 8 cijferige response niet over te typen. Je moet nog steeds de PIN in toetsen (gelukkig).

De bank stuurt de 8 cijferige challenge om te controleren of de gebruiker over de juiste pas + bijhorende pincode beschikt. Het antwoord op de 8 cijferige challenge wordt berekend door de e.dentifier2. De uitkomst van de berekening (ook 8 cijfers) wordt gestuurd naar de bank.

Met de challenge en response kunnen de onderzoekers niks want die moeten gewoon kloppen. Of je die nu over USB stuurt of overtypt maakt niets uit. De e.dentifier2 en de bank moeten de getallen gewoon hebben anders gaat het feest niet door.

Wat ik uit het Nieuwsuur-item kon opmaken is dat het onderzoek zich puur richtte op het afbeelden van het over te boeken bedrag op de e.dentifier2. Dit doen ze door software op de PC aan te brengen om dit getal te onderscheppen en aan te passen. Maar of je dat bedrag nu op je beeldscherm aanpast of op je USB schermpje maakt niet uit. Sterker nog, als je het bedrag op het USB schermpje aanpast dan moet je dat bedrag ook op je beeldscherm aanpassen want anders merkt de gebruiker verschil op en annuleert deze de transactie.

Punt is, er is geen kwetsbaarheid als je de USB feature gebruikt omdat de veilige cryptografische controle nog steeds plaatsvindt.

[Reactie gewijzigd door erikloman op 23 juli 2024 15:06]

LuckY @erikloman • 17 augustus 2012 00:32

Het is wel een security risico want de gebruiker hoeft krijgt niets meer te zien na het invoeren van de PIN, dan is de transactie met de plundering van de rekening al gedaan.

zie http://www.cs.ru.nl/~rver..._Banking-NORDSEC_2012.pdf (paper mag best gelinked worden in het topic btw for sake of clarity)

Hieruit enkele quotes:

Fig. 7. Attack on SWYS protocol; the difference with Fig. 4 is that the driver directly
gives the instruction to generate the ACs, without waiting for the user to press OK

Page 11

This weakness can be exploited: by sending the request over the USB line to
generate the cryptograms without waiting for the user to press OK, the cryp-
tograms are generated and the reader returns the response over the USB line,
without the user getting a chance to approve or cancel the transaction. To make
matters worse, a side-effect of giving this command is that the display is cleared,
so the transaction details only appear on the display for less than a second. We
demonstrated this attack in an actual internet banking session.

This means that an attacker controlling an infected PC can let the user sign
messages that the user did not approve, thus defeating one of the key objectives
of WYSIWYS. The user still has to enter his PIN, but this is entered at the start
of a transaction, and after this no more interaction is needed from the user to
sign malicious transactions.

Ja er is nog een vorm van userinteractie nodig voor de pincode, maar het hele verificatie proces waarbij de user normaal zou moeten interacteren wordt automagisch gedaan. Hierdoor heeft de user een groter risico om geplunderd te worden. Er hoeft geen ACK of NACK te worden gegeven op de transactie. die is al gebeurd. Hierdoor hoeft er dus ook niks aangepast te worden op één van de schermen. Hierdoor is er minder vermoeden bij de user.

Quote van page 5 en page 6:

Security Objectives of WYSIWYS

The crucial security objectives to ensure WYSIWYS (What-You-Sign-Is-What-
You-See) are that
-the text on the display is always included in the data that is signed,
-and that signing is only done after the user has given his consent.

Dat gebeurd niet!

[Reactie gewijzigd door LuckY op 23 juli 2024 15:06]

erikloman @LuckY • 17 augustus 2012 01:32

Het probleem zit dus op een geheel ander vlak dan als op Nieuwsuur weergegeven!
Het bedrag op het display is niet het probleem.

The user still has to enter his PIN, but this is entered at the start
of a transaction, and after this no more interaction is needed from the user to
sign malicious transactions.

Wanneer de gebruiker 1 transactie heeft goedgekeurd (zijn eigen) kan daarna malware volledig zonder tussenkomst van gebruiker eigenhandig communiceren met de bank en additionele transacties door de e.dentifier2 laten autoriseren!

Heb nogmaals het Nieuwsuur-item bekeken maar ze hebben het alleen over het bedrag dat aangepast wordt. Maar dat is helemaal niet het probleem! Het probleem zit wat je er daarna mee kan. Nieuwsuur focust zich volledig ontrecht op het onderschepte display-bedrag.

Uitzending: http://nieuwsuur.nl/uitzending/2012-08-16/

[Reactie gewijzigd door erikloman op 23 juli 2024 15:06]

Ice_Blade @erikloman • 17 augustus 2012 01:47

Er hoeft in principe niemand op OK te drukken. De e.dentifier2 geeft aan de PC door dat er op OK is gedrukt, waarna de PC een signaal stuurt dat de code gegenereerd dient te worden. Echter, als de PC niet op de OK wacht, en direct het volgende signaal stuurt, dan gaat de e.dentifier2 toch gewoon verder met zijn algoritme, waardoor de gebruiker dus helemaal niet op OK hoeft te drukken. De gebruiker ziet dus enkel het bericht even langsflitsen, en dan is de overboeking al gebeurd, terwijl de gebruiker hooguit dacht dat zijn e.dentifier2 even een glitch had.

[Reactie gewijzigd door Ice_Blade op 23 juli 2024 15:06]

erikloman @Ice_Blade • 17 augustus 2012 02:07

Had jij dat uit het Nieuwsuur item gehaald? Ik niet. Heb het al 3x gekeken. Het item ging alleen over het bedrag wat ze konden aanpassen wat totaal het probleem niet is.

Ice_Blade @erikloman • 17 augustus 2012 02:16

Ik heb (wel) het paper gelezen waar het Nieuwsuur item op gebaseerd is. Daar staat het gewoon vrij duidelijk uitgelegd.
Dat Nieuwsuur het anders heeft geïnterpreteerd/vermeld kan, ik heb zelf de uitzending niet gezien. Maar om je argumenten volledig op de uitleg van Nieuwsuur te berusten in plaats van de originele bron ook even te raadplegen is wellicht minder handig.

erikloman @Ice_Blade • 17 augustus 2012 02:32

Hoe kom je aan die link? Hij stond niet bij Nieuwsuur op de site, niet in het NU.nl artikel of by dit Tweakers-item. Dus niet zo gek dat ik m'n bevinden alleen op het Nieuwsuur-item baseer.

Ice_Blade @erikloman • 17 augustus 2012 02:39

Ik doe de Kerckhoffs-Institute Security Master aan de RU, TU/e en UT, dus ik zag het elders al langskomen.
Tevens als je googled op 'Arjan Blom Erik Poll' de 2 mensen in de Nieuwsuur uitzending, dan zie je ook een link naar de publicatie. (Hier de 2e in de lijst van Google.) Aangezien de uitzending ging over onderzoek is er zeer grote kans dat er ook een paper over is geschreven.

MacGyverNL @Ice_Blade • 17 augustus 2012 02:57

Ik heb ook eerst het paper gelezen en pas net het nieuwsuur-item gekeken. Weer een staaltje verwarrende journalistiek van de bovenste plank, als je het mij vraagt.

Als je goed oplet dan beschrijven ze in wat ze zeggen op 24:40 wel degelijk exact wat er hier fout gaat: Dat ze niet vermelden dat de gebruiker op "OK" drukt betekent ook daadwerkelijk dat niemand op "OK" hoeft te drukken. Maar dat haal je er ook waarschijnlijk alleen maar uit als je al weet wat nu precies de kwetsbaarheid van het protocol is. Daarnaast gebruiken ze een set beelden die het geheel er niet duidelijker op maken (zo zie je op het beeldscherm ineens "10,00" staan - waar zou dat moeten staan? Wie ziet dat?).

Daarnaast is er inderdaad nergens een link naar de wetenschappelijke publicatie, wat ik ook een beetje een kwalijke zaak vind. Zo kunnen geïnteresseerden niet heel veel verder komen.

Oh, en half gerelateerd: LOL @ 25:20, "apt-get update" om maar veel "hacker-achtige" dingen op het scherm te krijgen

Ah ja, de media hè...

Ice_Blade @MacGyverNL • 17 augustus 2012 03:10

Klopt.
Nu.nl heeft zijn bericht (http://www.nu.nl/internet...n-amro-soms-onveilig.html) volledig berust op het verhaal van Nieuwsuur (http://nieuwsuur.nl/onder...el-internetbankieren.html).
Ook Tweakers.net heeft haar oorspronkelijk informatie bij Nieuwsuur vandaan, dus als Nieuwsuur het met een bias verteld, en iedereen geeft er een kleine draai aan dan klopt het al snel niet meer.
Het is inderdaad jammer dat er nergens een link was gepost naar het onderzoek zelf, maar het zou kunnen dat die eigenlijk nog ergens gepubliceerd moet worden in een onderzoeksjournaal. Ik snap wel dat Nieuwsuur het niet al te technisch uit de doeken wilde doen voor de 'gemiddelde' bevolking, maar een link naar het rapport was voor andere nieuwsbronnen (zoals Tweakers.net) wel op zijn plaats geweest.

crizyz 16 augustus 2012 19:30

Van ABN AMRO site zelf:

Onderzoek bevestigt hoe belangrijk veilig internetbankieren is

De veiligheid van uw bankzaken staat bij ons voorop. Alleen samen met u kunnen wij zorgen dat u zo veilig mogelijk bankiert. Het belang van veiligheid is opnieuw bevestigd in een onderzoek van een student van de Radboud Universiteit Nijmegen. Vandaag besteedt het televisieprogramma Nieuwsuur waarschijnlijk aandacht aan dit onderzoek. In dit bericht leest u meer over dit onderzoek en wat wij samen kunnen doen om u zo goed mogelijk te beschermen tegen internetfraude.

Wat heeft de student onderzocht?
De student heeft op eigen initiatief een onderzoek gedaan naar veilig internetbankieren. Hij heeft toen in een proef kwaadaardige software (malware) geïnstalleerd op een computer van een denkbeeldige klant. Vervolgens heeft hij de paslezer e.dentifier2 via een usb-kabel aangesloten op de geïnfecteerde computer. Daarna heeft hij aangetoond dat hij kon frauderen met de rekening van deze denkbeeldige klant.

Kan deze vorm van fraude ook bij u voorkomen?
De kans dat deze vorm van fraude u overkomt is zeer klein. Wij zijn al enige tijd geleden geïnformeerd over dit onderzoek. Wij hebben toen direct extra maatregelen genomen om deze vorm van fraude via internet te herkennen en tegen te gaan. U kunt Internet Bankieren daarom blijven gebruiken zoals u gewend bent. Ook als u de e.dentifier2 aansluit op uw computer.

Wij verzoeken u om nog eens goed onze informatie over veilig bankieren te lezen. Daarin staat wat u zelf moet doen om zo veilig mogelijk te bankieren.

Tja, als je je aan dat veilig internetbankieren houdt, kun je het inderdaad op de oude manier gebruiken. Maar hoeveel mensen zijn er die nooit eens iets downloaden en dergelijke?

[Reactie gewijzigd door crizyz op 23 juli 2024 15:06]

Kahlan @crizyz • 17 augustus 2012 08:44

Tsja. Als je het paper leest staat daar heel duidelijk dat het voor de bank een normale transactie betreft. Die kan dat niet door hebben. Afgezien van de details van de betaling natuurlijk; daar kunnen allerlei automatische bellen gaan rinkelen)

De fout zit in het protocol:
De USB-driver krijgt een signaal dat de gebruiker bij de e-dentifier op OK heeft gedrukt. Daarna zal hij zelfstandig de challenge/response afhandelen.

Omdat het een PC driver is, kan hij zo'n challenge/response ook doen zonder de 'user pressed ok' trigger.

Dus, als de gebruiker zijn pin heeft ingevoerd kan de malware allerlei transacties uitvoeren zonder tussenkomst van de gebruiker.

Keypunchie 16 augustus 2012 22:44

Iik heb de uitzending bekeken van Nieuwsuur.... en ik ben geen ene moer wijzer geworden.

Sorry hoor, maar ik heb geen gewoon flauw idee waarom die USB-kabel nou extra problemen geeft voor een MitB-attack versus de traditionele edentifier. Er wordt veel geroepen, maar niks uitgelegd. Als je een trojan op je computer hebt, heb je ALTIJD een probleem, usb-kabel of geen usb-kabel.

Het woord "Blunder" vind ik een academicus onwaardig, als hij niet eens kan uitleggen wat de blunder is.

[edit]

Deze ochtend nog eens teruggelezen en ik zie dat vooral Ice_Blade het duidelijk uitlegt.

Als er zonder gebruikersinteractie gebruik kan worden gemaakt, dan is dat inderdaad een ernstige fout/kwetsbaarheid.

Mag ik even Nieuwsuur een -1 geven voor hun rapportage? Ik ben bang dat de verslaggevers het zelf niet helemaal begrepen.

In ieder geval zal ik aan vrienden en familie advies geven om uit voorzorg toch maar zonder het kabeltje te bankieren.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 15:06]

laurens0619 @Keypunchie • 16 augustus 2012 22:56

Het geeft geen extra problemen. Een extra veiligheid die ze met de usb willen creeren is gedeeltelijk uitgeschakeld (saldo zichtbaar op identifier maken). De usb biedt echter nog meer voordelen dus het nlijft nog steeds veiliger om de usb te gebruiken ipv zonder

R4gnax

Privacy

@laurens0619 • 17 augustus 2012 02:30

Het geeft geen extra problemen. Een extra veiligheid die ze met de usb willen creeren is gedeeltelijk uitgeschakeld (saldo zichtbaar op identifier maken). De usb biedt echter nog meer voordelen dus het nlijft nog steeds veiliger om de usb te gebruiken ipv zonder

Als je goed leest dan geeft het dus absoluut wel extra problemen.

De e-dentifier kan nadat eenmalig de PIN-code ingevoerd is voor een gebruikssessie automatisch via de USB-kabel en PC software aangestuurd worden om transacties te signeren.

De e-dentifier zelf dwingt namelijk niet hardwarematig af dat aangevraagde transacties eerst bevestigd moeten worden door de gebruiker. Dit wordt kennelijk als het al gebeurt enkel in het aansturingsprogramma van ABN op de PC gehonoreerd. Malware kan op dat moment zelf de aansturing van de USB verbinding overnemen en zonder op een akkoord van de gebruiker te wachten gewoon meteen het signeringsproces starten.

Als bijkomstigheid wist dit ook de inhoud van het display van de e-dentifier, waardoor het voor de gebruiker nagenoeg onmogelijk is om te zien dat er onder water transacties uitgevoerd worden. Het display zal slechts voor tienden van een seconde even een set transactiegegevens voorbij laten flitsen. Je bent heel knap als je dat ziet terwijl je op je PC scherm bezig bent met jouw eigen transactie(s).

Dit soort aanvallen zijn echter alleen uit te voeren als een gedeelte van het authenticatie systeem naar een aan het internet aangekoppelde PC overgehevelt wordt en malware daar op in kan breken, of wanneer malware via de USB-verbinding een vulnerability in de e-dentifier zelf kan benutten en deze direct kan besmetten.

Door het apparaatje aan de PC te koppelen gooi je dan ook alle voordelen van een two-factor authenticatie systeem met een tweede gesloten component teniet en staat je systeem netto even ver open voor aanval als een gewone gebruikersnaam/wachtwoord combinatie.

Dit is dus inderdaad echt een blunder eerste klasse (en de persoon die er voor verantwoordelijk is kan dan ook zeker het label 'schlemiel' opgeplakt krijgen).

[Reactie gewijzigd door R4gnax op 23 juli 2024 15:06]

laurens0619 @R4gnax • 17 augustus 2012 07:54

Ah ik had het paper nog niet gelezen. Bizar dat ze bij nieuwsuur het over iets heel anders hadden. Toen ik erik poll en arjan blom er een maand terug over sprak kwanen ze nog niet met deze resultaten maar die zullen ze wel (begrijpelijk) stil hebben gehouden tot publicatie

WhatsappHack

Privacy

17 augustus 2012 01:07

Dat ding vult alles automatisch in. Verbaast me niets als het gewoon enorm simpele malware is die een call maakt om een transactie uit te voeren die vervolgens alle zooi uitleest uit het apparaat. Al dacht ik wel dat je pincode nodig was, maar goed: combineer het met het moment dat de klant een normale transactie uitvoert en voila. Leip.

MacGyverNL @WhatsappHack • 17 augustus 2012 01:59

Waarom wordt dit nu weer gedownmod? Whatsapphack heeft precíes begrepen wat hier gebeurt, wat jullie zouden weten als je niet op Nieuwsuur afging maar gewoon even hoofdstuk 7 van het paper in kwestie zou lezen (dat een paar posts hierboven gelinkt wordt).

Dit protocol is gewoon kwetsbaar omdat alles automatisch ingevuld wordt en níet per se gewacht hoeft te worden op een "OK" van de gebruiker. Het enige overgebleven obstakel is inderdaad de pincode, maar ook daar slaat hij de spijker op zijn kop: Malware hoeft slechts te wachten totdat een gebruiker zijn pincode invoert om een legitieme transactie te beginnen en dan toe te slaan, door de verkeerde informatie in te vullen en zónder "OK" van de gebruiker de pas te bewegen het protocol af te maken.

R4gnax

Privacy

@WhatsappHack • 17 augustus 2012 02:41

Dat ding vult alles automatisch in. Verbaast me niets als het gewoon enorm simpele malware is die een call maakt om een transactie uit te voeren die vervolgens alle zooi uitleest uit het apparaat.

Da's volgens de research paper inderdaad precies wat er gebeurt. Het wachten op authorisatie door de gebruiker staat los van het aanvragen van een signering op de e.dentifier.

Malware kan door zelf direct over de USB verbinding te communiceren met de e.dentifier de hele authorisatie stap overslaan en gewoon direct aan het appaartje vragen om een transactie te signeren.

Als bijkomstigheid wordt hierbij nog steeds wel het display van de e.dentifier, waarop de aangevragen transactie te lezen valt, gewist. (Dit gedrag zit kennelijk foutief gekoppeld: aan de start van het signerinsproces, i.p.v. aan de authorisatie instructie van de gebruiker.) Een gebruiker heeft hierdoor slechts tienden van een seconde om malafide transacties voorbij te zien schieten. Iets wat niemand gaat zien wanneer er niet direct naar het apparaatje getuurd wordt.

[Reactie gewijzigd door R4gnax op 23 juli 2024 15:06]

Barca 16 augustus 2012 20:42

Wat veel mensen niet weten... en daar kwam ik zelf pas vorige maand achter

... is dat het aansluiten van de e.dentifier2 via USB ervoor zorgt dat de batterij in de e.dentifier2 wordt opgeladen.

Ik dacht dat er echt geen enkele reden meer was om de e.dentifier2 via USB aan te sluiten nu ABN AMRO snelbankieren heeft geintroduceerd. Maar je laadt er dus de batterij van de e.dentifier2 mee op waardoor je geen nieuwe hoeft aan te vragen door een lege batterij zoals bij de eerste versie van de e.dentifier. Misschien iets dat jullie ook nog niet wisten?

[Reactie gewijzigd door Barca op 23 juli 2024 15:06]

FreshMaker @Barca • 17 augustus 2012 08:03

dus hang je hem zo eens per maand aan de telefoonoplader ?

stresstak @FreshMaker • 17 augustus 2012 15:54

Neen, gewoon aan de pc. Hij zal toch ook wel opladen als er niet middels een pinpas en -code is ingelogd.?

laurens0619 16 augustus 2012 22:46

Leuke uitkomst van het onderzoek en wat een blunder van de abn maar janmer dat er nogal wat info mist:

De usb verbinding is bedoeld om extra veiligheid te bieden. Het gebruik maken van de usb maakt het in deze exploit dus _niet_ onveiliger dan gebruik zonder usb.

Het saldo hoef je nu namelijk bij een transactie (meestal niet) in te voeren op de identifier. En ook al moet je het invoeren dan voer je een aantal getallen achter elkaar in en weet je niet dat het om het saldo gaat.

De usb is toegevoegd om extra meta info op het scherm te tonen omdat die info (als het goed is) veel lastiger aan te passen is door malware dan html in de browser.

Dus ja dit is een enorme blunder en verpest de extra veiligheid die het moet bieden maar nee het gebruik van usb maakt het niet per definite onveiliger.

laurens0619 @laurens0619 • 16 augustus 2012 22:51

Toevoeging:
De lange codes die je nu moet overtikken worden namelijk nog wel versleuteld naar het kastje gestuurd.

Godjira 17 augustus 2012 07:44

Ben al jaren klant van de ABN Amro en toen ik de e.dentifier2 met USB kabel ontving heb ik meteen gedacht... die kabel ga ik mooi niet gebruiken. Het is imo logisch dat, wanneer je zo'n identificatie apparaat aan je PC koppelt, je automatisch meer risico loopt. Veiligheid vind ik in dat geval dan ook belangrijker dat het gemak dat je terug krijgt wanneer je de USB kabel wel zou gebruiken.

CynicRelief 17 augustus 2012 08:07

Wat ik buitengewoon storend en dom vind in dit soort zaken is de berichtgeving naar de gebruikers/klanten toe, die deugt voor geen meter en is erg onduidelijk.

Er is de student in net overhemd die een technisch, maar onsamenhangend verhaal ophangt over het probleem (het is overigens goed *dat* ze het gevonden hebben en er melding van maken ...).

Dan is er de hoge pief van een of ander centraal veiligheidsinstantie, die zegt dat het zorgelijk is en dat er op een hoger niveau aandacht aan moet worden gegegeven, helemaal mee eens, maar niet direct relevant, want ik als gewone computer-gebruiker en klant van de bank weet nog steeds niet wat malware is, wat een trojan is, dat ik in het verleden iets gedaan moet hebben (een of ander linkje aangeklikt, of valse email hebben ge-dl) om nu ineens met m'n id-kastje een probleem te hebben.

Dan is er de bank die direct meld dat er geen enkel probleem is (dat is snel!, ik wordt altijd wat achterdochtig bij dit soort zoethoudertjes).

De bank in kwestie zal vandaag wat extra personeel in z'n callcenter moeten plaatsen om de vloed aan ongeruste telefoontjes te verwerken, want het resultaat van dit soort berichtgeving, zonder duidelijk te zijn over hoe en wat, is massahysterie.

ps: overigens is bedoelde informatie natuurlijk best wel te vinden, vanaf de login-page van de abn bank klik je er zo naar toe, en er zullen best mensen zijn die vervolgens al die lappen tekst door gaan lezen, en er zullen er misschien zelfs bij zijn die de inhoud volledig snappen. Punt is dat elke klant dat zou moeten doen. Misschien gaat het dan ook om bewustwording van de ernst van het probleem, en moet daar in de berichtgeving de nadruk op worden gelegd.

[Reactie gewijzigd door CynicRelief op 23 juli 2024 15:06]

Meivogeltje 17 augustus 2012 08:27

Het onderwerp begint met: Gebruikers van de internetbankiersite van ABN Amro .Wat mij nog niet geheel duidelijk is is of dit alleen bij betalingen via de site van abnamro speelt of ook bijvoorbeeld ideal betalingen(indirect gebruik) via abn amro met de identiefier 2 aan een usb kabel. Ik was tot nu toe toch wel een gecharmeerd gebruiker van dit stukje automatisering. Tot nader bericht dan in ieder geval betalingen via de site van abnamro weer zonder usb kabel??

[Reactie gewijzigd door Meivogeltje op 23 juli 2024 15:06]

aadje93 16 augustus 2012 18:30

waarom moet de identifier dan aan de pc gehangen worden? Mijn moeder bankiert ook via ABN met (ik denk) een nieuwe die ook aan de pc "kan" maar ze doet het nooit (soz, zit zelf bij Rabobank, dus weet echt niet waarvoor dat usb dient).

Wel apart dat juist de nieuwe kwetsbaar is, de oude is meestal juist kwetsbaar en de nieuwe dient dan als verbetering die probelemen oplost.

Dit kan dus ook niet even gefixt worden met een software update denk ik? (gezien je het apparaat kraakt, en de bootrom kun je volgens mij niet aanspreken via de usb poort)

p88l2 @aadje93 • 16 augustus 2012 20:20

Omdat dat het veiliger is (of ik moet nu eigenlijk zeggen: kan zijn...)

De bedoeling is dat je ziet waarvoor je signed. Bij de oude e.dentifier en de Rabobank random reader weet je niet voor welk bedrag en welke rekening je je pincode opgeeft. Je denkt dat dat is voor wat je op het scherm ziet, maar daar kan malware tussen zitten... en ja dan klopt de url, zie een slotje, een groene adresbalk etc alsof er niets aan de hand is... Toch kan het geld heel ergens anders heengaan.

Dus apparaat waar je bedrag en rekekening op ziet is een goed idee en ook handiger omdat je niet hoeft over te typen... mits dit natuurlijk goed is uitgevoerd... (in hoeverre dit al mogelijk is op een PC / Telefoon die je eigenlijk niet kunt vertrouwen)

Er wordt ook erg gemakkelijk gedaan over mobiel betalen / bankieren, maar indien niet goed uitgevoerd kan dit rampzalig aflopen. De telefoons zijn tot nu toe eigenlijk niet geschikt omdat ze geen echt secure element bevatten en al helemaal niet voldoen aan de eisen die voor pinpads in een winkel gelden, zoals PCI-PTS en zelfs die worden soms geskimd.

[Reactie gewijzigd door p88l2 op 23 juli 2024 15:06]

D-TECH @p88l2 • 16 augustus 2012 20:46

Tegenwoordig moet je als verificatie code bij de rabobank je totaalbedrag invoeren. Het rekeningnummer staat ook duidelijk aangegeven.

p88l2 @D-TECH • 16 augustus 2012 21:02

Op onze (wellicht oude) random reader zie je alleen je eigen rekeningnummer...

Alleen voor grote bedragen moet je bij ABN (bij Rabo weet ik eigenlijk niet) nog een keer een code intypen die afgeleid is van het rekeningnummer.

Maar kan zijn dat ook Rabonbank nieuwere versies heeft.

R4gnax

Privacy

@p88l2 • 17 augustus 2012 02:00

Op onze (wellicht oude) random reader zie je alleen je eigen rekeningnummer...

Alleen voor grote bedragen moet je bij ABN (bij Rabo weet ik eigenlijk niet) nog een keer een code intypen die afgeleid is van het rekeningnummer.

Maar kan zijn dat ook Rabonbank nieuwere versies heeft.

Het opbouwen van de verificatiecode gebeurt op de random reader van de Rabobank in 3 stappen die je individueel op de reader in moet voeren en met [OK] moet bevestigen. Eerst een willekeurig gegenereerd getal vanuit de website van de Rabobank, dan het totaalbedrag wat je over gaat maken en tenslotte (bij hoge bedragen) een gedeelte v/h rekeningnummer van de begunstigde partij.

Anoniem: 122843 @D-TECH • 17 augustus 2012 16:42

Niet alleen dat, tegenwoordig moet het volgens mij altijd, en is er daadwerkelijk aangegeven dat het het totaalbedrag is. Vroeger was dat niet het geval, en als mensen niet weten wat het getal voorsteld dan zullen ze er niet snel over struikelen als het totaal niet klopt. Soms zijn het echt van dit soort kleine dingetjes die het verschil maken.

Donstil @aadje93 • 16 augustus 2012 18:33

Klopt, de identifier2 hoeft niet verplicht aangesloten te worden op een PC. Is niet verplicht maar dat kan ook niet, alleen Windows is ondersteund namelijk.

EValentino @Donstil • 16 augustus 2012 18:39

Hier werkt die op Mac OSX 10.7 & 10.8 ook gewoon hoor... Hiervoor is ook software beschikbaar zie :

https://www.abnamro.nl/nl...nstalleren.html#/?s=0/:S0

Donstil @EValentino • 16 augustus 2012 19:24

ooh dat is dan aangepast inmiddels, ik heb het van het doosje en daar spraken ze alleen over windows platformen.

(Zelf een Mac gebruiker trouwens)

CyberFly @aadje93 • 16 augustus 2012 18:38

Je moet helemaal niets, het is een optie om de identifier aan de pc te hangen via usb. Het voordeel is dat je dan een (aantal) stappen tijdens het inloggen en/of internetbankieren kan overslaan.
Ik weet niet wat de details zijn, ik koppel mijn identifier nooit via usb.

Naar mijn idee is het een stom idee geweest om het mogelijk te maken om de identifier via usb aan de pc te koppelen. De kracht van het systeem zit hem juist in het gebruiken van 2 apparaten die niet gekoppeld zijn.

bwerg @CyberFly • 16 augustus 2012 23:18

Het koppelen van systemen hoeft geen beveiligingsprobleem te geven. Als je maar zorgt dat het gehele protocol waterdicht is, en dat zal echt wel mogelijk zijn.

Het koppelen van USB-apparaten op een computer met een OS als windows kan onveilig zijn omdat de USB kwaadaardige code kan bevatten, of omdat het OS juist de gegevens op het USB-apparaat kan manipuleren. Maar als een USB-apparaat geen code kan uitvoeren (behalve die van zichzelf natuurlijk) en read-only is hoeft er niets mis te gaan. Maar goed, het is natuurlijk wel veel complexer, en het is maar de vraag of je dat risico wilt lopen. Een los apparaat is relatief simpel om 100% veilig te maken.

[Reactie gewijzigd door bwerg op 23 juli 2024 15:06]

rvl1980 @bwerg • 17 augustus 2012 08:04

Dit zou natuurlijk ook kunnen gebeuren op een Mac/Linux systeem, laten we AUB niet verzanden in 'die' discussie.

Maar de rest van je punt is zeker valide. Mijn antennes zouden ook als eerste uit gaan naar USB drivers en zwakheden daarin aangezien dat a) de stap is de mogelijk maakt dat er beveiligingsmethodes 'geskipped kunnen worden' b) daar r(/w) mogelijkheden/zwakheden in kunnen zitten met een directe koppeling aan het apparaat 'waar het allemaal gebeurd'. Als ik op zoek moest gaan naar zwakheden zou ik als eerste daar beginnen...

[Reactie gewijzigd door rvl1980 op 23 juli 2024 15:06]

The System @aadje93 • 16 augustus 2012 18:35

Als je de e.dentifier2 via usb aan je pc koppelt hoef je bij transacties en inloggen geen codes in te voeren, maar alleen je pincode. Daarnaast kun je volgens mij zonder code ook je saldo en dergelijke controleren.

Heb het zelf een tijd gebruikt en het is opzich wel handig als je veel tranacties doet, hierbij scheelt het wel. Maar voor die paar handelingen per maand is volgens mij de moeite niet waard.

Uiteindelijk ben ik ermee gestopt omdat ik verwachte dat het veiliger was zonder usb ertussen en dat is nu dus gebleken. Was volgens mij geen kwestie van of, maar van wanneer het misbruikt zou worden.

// Zowel het makkelijk inloggen als het snel je saldo controleren zijn wat mij betreft ook wel gerealiseerd door het Snel Bankieren wat ze nu al een tijdje aanbieden. Hiermee kun je met een 5 cijferige code direct inloggen voor wat simpelere bankier zaken. Werkt exact het zelfde als de Android app en wat mij betreft wel een handige vinding.

Dus nog een reden minder om je e.dentifer2 niet aan te hoeven sluiten aan je pc.

[Reactie gewijzigd door The System op 23 juli 2024 15:06]

CodeCaster @aadje93 • 16 augustus 2012 18:36

Omdat je dan alleen nog maar je pinpas in het apparaat hoeft te schuiven, je pincode hoeft in te tikken en de transactie hoeft goed te keuren door op OK te drukken.

Geen gedoe met codes overtikken: gemak dient de mens.

[Reactie gewijzigd door CodeCaster op 23 juli 2024 15:06]

Melvinvm @aadje93 • 16 augustus 2012 18:46

Als je de identifier via usb aansluit hoef je de code die het maakt niet zelf in te voeren bij het inloggen ed, dat doet de software dan voor je.

Aham brahmasmi @aadje93 • 16 augustus 2012 18:52

waarom moet de identifier dan aan de pc gehangen worden?

Moet niet, maar het is veel makkelijker want je hoeft niet steeds je rekeningnr. en pasnummer in te vullen. Je hoeft dan alleen je pin-code in te voeren om in te loggen.

Keypunchie @aadje93 • 16 augustus 2012 18:34

waarom moet de identifier dan aan de pc gehangen worden? Mijn moeder bankiert ook via ABN met (ik denk) een nieuwe die ook aan de pc "kan" maar ze doet het nooit (soz, zit zelf bij Rabobank, dus weet echt niet waarvoor dat usb dient).

Dat moet niet, maar maakt het makkelijker, want dan vult hij bepaalde codes zelf in, geloof ik. Dus je hoeft dan alleen de responscodes in te tikken. (hij leest zelf wat er van de website komt).

Zoiets.

[/zelf alleen een e-dentifier 1]

[Reactie gewijzigd door Keypunchie op 23 juli 2024 15:06]

DCG909 @Keypunchie • 16 augustus 2012 19:29

Niet helemaal, het is niet de response, maar je pincode.
Hmm, en ik vond het via de kabel zo makkelijk.... dan maar weer los gebruiken.

GWTommy @aadje93 • 16 augustus 2012 18:33

Waar moet die software update vandaan komen?

En zo gek is het niet. Het nieuwe apparaat zal ontworpen zijn met het oog op het verbeteren van de veiligheid. Dat er bij de (waarschijnlijk) geheel nieuwe architectuur een ontwerpfout is gemaakt, is natuurlijk menselijk. Al is dat niet netjes!

Op dit item kan niet meer gereageerd worden.

Fraude mogelijk bij internetbankieren ABN Amro - update 2

Lees meer

IT-banen

Reacties (144)

Sorteer op:

Weergave: